※この記事を書いている時点の最新バージョンはChrome 77.0.3865.90です。
2019年10月3日、
Googleはセキュリティブログ security.googleblog.com で「No More Mixed Messages About HTTPS」と題する記事をアップしました。
その記事は、
これからリリースされるGoogle ChromeのHTTPSの処理についてのタイムラインを示すもので、2020年2月にリリース予定のChrome 81からHTTPSとHTTPが混合するコンテンツをブロックする仕様になることを周知しています。
企業やブロガーなど、コンテンツホルダー全てに影響があります。
Chrome 81のリリースまで4か月しかありませんが、Bloggerの画像リンクがhttps化されたのは最近のことなのでBloggerユーザーは対応が必要です。
具体的には、2019年12月リリース予定のChrome 79から段階的に混合コンテンツブロック機能が組み込まれます。
混合コンテンツ
混合コンテンツとは、HTTPS接続で読み込まれたページの中にHTTP接続のリンクが存在するコンテンツを指します。例えば以下のものです。
- 画像
- 動画
- スタイルシート
- スクリプト
- ...etc
現在はHTTPSとHTTPが混在するコンテンツを表示する時に、このページに安全でないリソースが含まれていることが表示されますがChrome 81からはブロックされます。
このブログは、外部リンクは https://~ のリンクを貼るように心がけていますが、HTTPSに対応していないウェブサイトの場合は http://~ のリンクを貼っているので、一部のコンテンツは表示できなくなると思われます。
タイムライン
2019年12月:Chrome 79
Chrome 79では特定のサイトで混合コンテンツのブロックを解除する新しい設定が導入されます。ユーザーは、https:// ページのロックアイコンをクリックして [Site settings] をクリックすることにより設定を切り替えることができます。
ブロック対象
- 混合スクリプト
- iframes
- Chromeが現在デフォルトでブロックしている他の種類のコンテンツ
2020年1月:Chrome 80
Chrome 80では、オーディオとビデオの混合リソースは https://~ に自動変換され、https://~ での読み込みに失敗した場合はブロックします。ブロック対象
- 混合スクリプト
- iframes
- Chromeが現在デフォルトでブロックしている他の種類のコンテンツ
- 混合オーディオ、ビデオリソース
混合画像の読み込みは許可されますが、アドレスバーに「安全でない」チップを表示します。
2020年2月:Chrome 81
Chrome 81では、混合画像は https://~ に自動アップグレードされ、https://~ での読み込みに失敗した場合ブロックします。ブロック対象
- 混合スクリプト
- iframes
- Chromeが現在デフォルトでブロックしている他の種類のコンテンツ
- 混合オーディオ、ビデオ
- 混合画像
あとがき
security.googleblog.com によると、Chromeユーザーは、すべての主要なプラットフォームで、閲覧時間の90%以上をHTTPSに費やしているそうなので、混合コンテンツのブロックに舵を切ったのだろうと思います。ブラウザがコンテンツを表示するまでのシーケンス
- ブラウザがウェブサイトにアクセスしてHTMLリソースをリクエストする
- ウェブサーバーは HTMLコンテンツを返す
- ブラウザは返されたHTMLを解析してユーザーに表示する
ウェブサーバーが返すHTMLコンテンツは次のコンテンツを個別のリクエストとして要求する場合がありますが、Chrome 81から全てのコンテンツはHTTPS化しておかなければなりません。
- 画像
- 動画
- iframe内のHTML
- CSS
- JavaScript
- ...etc
詳細は security.googleblog.com をお読みください。(外部リンク)
External link
:SC2
このサイトを検索 | Search this site
ブロトピ:今日のブログ更新){kind=link}
0 コメント